Danmarks Radio har krav om obligatorisk login, hvis man vil have adgang til alle dele af indholdet fra deres kanaler.
Kravet om login irriterer Ole Tange, der til daglig er it-politisk rådgiver i PROSA.
Han har svært ved at se meningen med, at DR, der er skattebetalt public service, skal udbede sig folks data for indhold, som er alles eje. Derfor har han klaget til Datatilsynet over DR.
”Danmark Radio er skattebetalt og har en public service forpligtelse. Hvorfor skal de så også kræve at høste mine data? Hvorfor skal jeg ikke bare have fri adgang til alt uden at give mine data igen, jeg har jo allerede betalt. Jeg kan ikke vælge dem fra, som jeg kan vælge Netflix eller TV2 fra,” fortæller Ole Tange.
”Det er både mere bøvlet og for mig at se juridisk forkert og i strid med GDPR. Man må ifølge GDPR ikke registrere mere, end der er behov for. Jeg kan ikke se, at DR har et behov her, som ikke kunne opfyldes uden login,” fortæller han.
Ole Tange har klaget til Datatilsynet som privatperson, men oplyser samtidig, at de it-professionelles forbund, PROSA, bakker ham op i hans klage og holdningen til, at DR ikke skal registrere mere end nødvendigt.
Du kan læse klagen til Datatilsynet herunder:
Til Datatilsynet,
Cc: DR
Denne klage udfordrer Danmarks Radios (DR) obligatoriske loginpolitik for at få adgang til streamingindhold på DR TV. Denne politik synes at krænke princippet om "databeskyttelse som standard," et centralt element i persondataforordningen (GDPR). Jeg argumenterer for, at DR kan opnå dataminimering og opfylde sine public service-forpligtelser ved at fjerne login-kravet og benytte mindre indgribende metoder til dataindsamling.
Jeg har bedt om indsigt i egne data (se vedhæftede) og heri kan man bl.a. se, at DR har registreret, at jeg har set "Fortidens hemmeligheder: Casper Christensen". Denne registrering mener jeg er i strid med GDPR.
DR's nuværende praksis modsiger databeskyttelse som standard:
Ifølge GDPR, specifikt artikel 25, er databeskyttelse ved design og som standard påkrævet. Dette princip kræver, at dataansvarlige implementerer passende tekniske og organisatoriske foranstaltninger for at sikre, at der som standard kun behandles de persondata, der er nødvendige for hvert specifikt formål.
DR hævder at give brugerne en vis kontrol over dataindsamling ved at lade dem fravælge visse funktioner som statistisk sporing, personlige anbefalinger og nyhedsbreve. Dog kræver selve grundlaget for loginsystemet, at brugernavne og e-mailadresser indsamles, selv hvis brugerne fravælger alle datadrevne funktioner.
Obligatorisk login underminerer dataminimering:
Det obligatoriske loginsystem står i direkte modsætning til princippet om dataminimering (GDPR artikel 5.1.c). Dette rejser spørgsmål om, hvorvidt DR virkelig minimerer de persondata, der indsamles. Hvis det specifikke navn og emailadressen ikke er nødvendig for DR, virker det unødvendigt og uproportionelt at indsamle disse oplysninger i forhold til det erklærede formål om at forbedre brugeroplevelsen.
Det er også svært at se, at ønsket om en forbedret brugeroplevelse skulle overtrumfe borgerens ret til databeskyttelse som standard (GDPR artikel 25) og dataminimering (GDPR artikel 5.1.c).
Desuden skaber kravet om login, selv med fravalgsmuligheder, en højere adgangsbarriere for brugere, der værner om deres privatliv. Et system uden login ville i sig selv indsamle færre persondata og stemme bedre overens med principperne om dataminimering og databeskyttelse som standard.
Public service-opfyldelse uden login:
Som Danmarks nationale public service-udbyder har DR pligt til at levere tilgængeligt indhold til alle borgere. Der er ikke noget, der tyder på, at et loginsystem er nødvendigt for at opfylde disse public service-forpligtelser. DR kunne muligvis bruge mindre indgribende metoder, såsom cookie-baserede præferencer, til at tilbyde en vis grad af personalisering og forbedring af brugeroplevelsen uden at kræve et fuldt login. Og hvis borgerne ikke ønsker personalisering og forbedring af brugeroplevelsen, kunne man efter borgerens ønske helt fjerne cookie-baserede præferencer.
Denne tilgang ville bedre afspejle databeskyttelse som standard ved at minimere dataindsamlingen fra starten.
DR's brug af databehandlere:
Selvom DR lægger vægt på deres brug af databehandleraftaler for at begrænse, hvordan tredjepartsleverandører bruger data indsamlet via cookies, adresserer disse aftaler ikke fuldt ud de privatlivsbekymringer, der rejser sig ved det obligatoriske loginsystem. Kernen i problemet er nødvendigheden af at indsamle brugernavne og e-mailadresser til at begynde med.
Anmodning om vurdering:
Baseret på de fremlagte argumenter og registreringen af, at jeg har set "Fortidens hemmeligheder: Casper Christensen", anmoder jeg Datatilsynet om at vurdere DR's login-krav for overensstemmelse med GDPR's principper om dataminimering og databeskyttelse som standard. Jeg opfordrer specifikt Datatilsynet til at:
- Afgøre, om indsamlingen af brugernavne og e-mailadresser til loginformål er nødvendig og proportional i forhold til DR's erklærede mål om at forbedre brugeroplevelsen.
- Vurdere, om DR har undersøgt og tilstrækkeligt overvejet alternative tilgange, såsom cookie-baserede præferencer, der kunne minimere dataindsamlingen og stadig give en tilfredsstillende brugeroplevelse.
- Vurdere, om DR har undersøgt, om de kan leve op til deres public service forpligtelser uden brug af login hhv. cookies, og om de i givet fald lever op til dataminimering og databeskyttelse som standard, hvis de fortsat kræver login.
- Vurdere, om en forbedret brugeroplevelse kan overtrumfe borgerens ret til databeskyttelse som standard (GDPR artikel 25) og dataminimering (GDPR artikel 5.1.c).
- Undersøge, om den obligatoriske loginpolitik skaber en adgangsbarriere for brugere, der bekymrer sig om deres privatliv, og derved underminerer DR's public service-forpligtelser.
Jeg mener, at DR's nuværende loginsystem kompromitterer brugernes privatliv og kunne omstruktureres for bedre at prioritere databeskyttelse som standard og dataminimering, som krævet af GDPR.
Med venlig hilsen
Ole Tange
It-politisk rådgiver